EL RIESGO LEGAL CORPORATIVO: NORMATIVAS NACIONALES

ámbito
jurídico
El Riesgo Legal Corporativo:
normativas nacionales,
comunitarias e internacionales
Alonso Hurtado Bueno. Socio de IT & Compliance de ECIJA.
Abstract: Disponer de una estrategia integral para la identificación, análisis, evaluación y gestión del
riesgos legal corporativo en las organizaciones de hoy día, es una necesidad esencial para lograr generar
la confianza reclamada insistentemente por inversores, clientes y demás agentes del mercado, además de
lograr reducir los riesgos legales de la compañía, aumentar la eficiencia de la organización y facilitar la
toma de decisiones por parte del Consejo de Administración.
A ninguno se nos escapa que la actual situación económica ha provocando que la mayoría de organizaciones comiencen a implementar planes encaminados a mejorar y aumentar su eficiencia, los sistemas
de control internos, así como la disposición de sistemas internos de monitorización y control del “estado
de salud” de la organización.
En este proceso de cambio, como no podía ser de otra forma, Gobiernos y Entes Reguladores iniciaron
hace algunos años un profundo proceso de regulación con impacto en la mayoría de sectores, caracterizándose las diferentes normas promulgadas por introducir sistemas de control efectivo, de transparencia
y de buen gobierno corporativo orientados a lograr los máximos grados de participación, legalidad, transparencia, responsabilidad, consenso, equidad, eficacia, eficiencia y sostenibilidad.
La creación del mercado común
europeo, entre cuyas principales orientaciones se encuentra promover la unificación de la normativa aplicables en
todos los países miembros; los frecuentes casos de corrupción en organismos
públicos y privados con graves efectos
86 Economist & Jurist
colaterales para las economías nacionales; o las importantes quiebras o ‘defaults’ que desde inicios del S. XXI hemos tenido ocasión de presenciar, tales
como la de compañías como Lehman
Brothers, y todo lo que de ella dependía a nivel mundial, Enron, Worldcom,
AOL o Arthur Andersen, caídas que
en muchos casos se produjeron por la
falta de control interno y externo del
cumplimiento normativo, han obligado
al establecimiento de un marco regulador uniforme, del que se derivan una
serie de reglas básicas cuyo cometido
no es otro que, sin llegar a anular la necesaria capacidad privada para la gestión de las organizaciones, existieran
herramientas y métodos, más o menos
uniformes, que permitieran anticiparse
y prever los posibles efectos derivados
de estas situaciones, así como dotara
al resto de los agentes del mercado de
medios suficientes para poder reaccionar desde el punto de vista jurídico y
económico para la defensa de sus intereses.
Desde los departamentos jurídicos
y de cumplimiento normativo, como
la gran mayoría de las disciplinas empresariales, hemos tenido que evolucionar con los tiempos, adaptándonos
a los requisitos que una sociedad y un
mercado, cada vez más exigente, nos
requieren.
Los servicios de asesoramiento y
consultoría legal tradicionalmente
han estado orientados únicamente
a identificar posibles incumplimientos normativos de la organización,
centrándose en la proposición de las
medidas correctoras oportunas para
lograr solucionar los incumplimientos
de la organización, sin que en ningún
momento se realice una identificación de los riesgos reales que la organización asume en caso de incumplimiento, ni tampoco analizar el coste/
beneficio que podría implicar el cumplimiento, o en su caso el incumplimiento normativo en cuestión.
Ante los cambios normativos tan
habituales a los que no estamos vien-
legislación
www.bdifusion.es
•
Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos
de Carácter Personal. (Normas básicas. Marginal: 8).
•
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal. (Normas
básicas. Marginal: 72032).
•
Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. (Legislación General. Marginal: 106137).
•
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. (Normas básicas. Marginal: 14269).
“Los elementos que debemos tener en
cuenta a la hora de calcular el riesgo
asociado al incumplimiento de una
determinada obligación legal son:
probabilidad, amenaza, vulnerabilidad, e
impacto”
do sometidos en los últimos tiempos,
la intensificación de los niveles de
responsabilidad de los consejos de
administración, así como la imposición de la obligación de debido y
efectivo control en las compañías
o de evaluación del riesgos de las
organizaciones, el asesoramien-
to jurídico prestado siguiendo
las metodologías tradicionales,
en muchas ocasiones, ha dejado
de aportar niveles de seguridad
frente al riesgo efectivamente razonables, convirtiéndose el cumplimiento normativo en una carga
pesada para las organizaciones,
Economist & Jurist 87
ámbito
jurídico
“Para la identificación, evaluación
y gestión del riesgo, contamos en la
actualidad con estándares internacionales
como ISO/IEC 31.000”
que en muchas ocasiones son mantenidas únicamente por tratarse de
una mera imposición legal, sin que
se extraiga un valor añadido real a la
compañía, como podría ser, por ejemplo, al aumento de la valoración de la
compañía en bolsa.
–– Vulnerabilidad: produciéndose
cuando no existe o no se aplica una
medida específica, ya sea jurídica,
técnica u organizativa, encaminada
a eliminar el riesgo en su origen, o
en su caso, mitigarlo para su adecuada gestión.
El principal elemento adicional que se está introduciendo en
la valoración jurídica, es el elemento del Riesgo, un Riesgo, que
debe ser calculado tomando como referencia criterios actuariales, ampliamente utilizados en el sector asegurador o financiero, en el que mediante
la aplicación de un sencilla fórmula
matemática (Riesgo = Probabilidad x Impacto), también, por qué
no, los asesores legales podemos poner a disposición de nuestros Consejos un potente instrumento con el que
poder valorar, basándonos en datos
puramente objetivos, las decisiones
asociadas al cumplimiento de determinadas normas o en su caso el grado
de cumplimiento.
–– Impacto: efectos, directos e indirectos (no sólo económicos, sino
también reputacionales, bloqueo
de operaciones, etc), que pueden
llegar a derivarse en caso de que se
materialice una determinada amenaza.
Son cuatro los elementos que debemos tener en cuenta a la hora
de calcular el riesgo asociado al
incumplimiento de una determinada obligación legal:
–– Probabilidad: siendo la frecuencia con la que se produce una determinada amenaza.
–– Amenaza: siendo la situación que
en caso de constatarse, junto a la
vulnerabilidad, produciría necesariamente que el impacto se materializara.
88 Economist & Jurist
Para la identificación, evaluación y gestión del riesgo, contamos en la actualidad con estándares internacionales como ISO/
IEC 31.000 que ponen a nuestra
disposición una metodología uniforme, común y reconocida a nivel internacional para identificar, analizar,
evaluar y tratar los potenciales riesgos, contribuyendo a minimizar
las áreas de incertidumbre y a la
mejora del desempeño, proporcionando las directrices necesarias para gestionar eficazmente
cualquier tipo de riesgo de una
manera sistemática, transparente
y fiable, ayudando a desarrollar un
marco de trabajo para integrar la gestión del riesgo en todos los procesos
de la empresa y como no, también en
los procesos asociados al área legal de
la organización.
Son sectores como el asegurador,
financiero, telecos o energético en los
que la normativa nacional, comunitaria e internacional de reciente
publicación, está haciendo especial
hincapié en la necesidad de que
las organizaciones se doten de
sistemas internos de Governance, Risk&Compliance (GR&C)
que permitan a las entidades poder establecer internamente un
Framework para la gestión de
riesgos, pero no sólo financieros u
operacionales, sino también para los
riesgos asociados al cumplimiento
normativo.
La mayoría de la normativa de
aplicación a la empresa privada,
especialmente si ésta pertenece a sectores con alta regulación o compañías
cotizadas, impone la obligación de
realizar auditorías periódicas, así
como publicar datos estadísticos del
nivel de cumplimiento y de los riesgos asumidos por la compañía, así
como sobre el grado de cumplimiento
y desarrollo de una determinada ley o
marco regulatorio.
Del mismo modo, es habitual que
la normativa en cuestión requiera las
máximas garantías de objetividad, independencia e integridad de todos y
cada uno de los procesos de evaluación
de cumplimiento, de tal forma que una
vez emitidos no puedan ser variados.
Todo ello no tiene otro objetivo que
reforzar la confianza de inversores y
clientes, mediante la reducción del
riesgo de la compañía y especialmente,
mediante la acreditación permanente
de los niveles de cumplimiento normativo de la organización.
Desde el punto de vista normativo,
cabe destacar, entre las principales
normas, la necesidad de establecer
un “Framework” de cumplimiento
normativo, en el que se realice una
auditoría y evaluación periódica del
nivel de cumplimiento, así como se
mantengan registros acreditativos del
cumplimiento periódicos o en su caso
sistemas de evaluación de riesgos legales corporativos.
A nivel Nacional, cabe destacar
lo dispuesto por la Ley Orgánica
15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal y particularmente
por el Real Decreto 1720/2007,
de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo
de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos
de carácter personal, donde se establece, entre otras, la obligación por
parte de cualquier tipo de entidad,
que trate datos personales que sean
catalogados de un determinado nivel
de seguridad, de someter los sistemas
de información empleados para el tratamiento de los mismos a una auditoría bienal, además de llevar a cabo
la elaboración de un Documento de
Seguridad interno en el que se describan todas las medidas de seguridad y
organizativas aplicadas sobre los sistemas de información y tratamiento de
datos personales.
Del mismo modo, es igualmente destacable el papel que juega en
este sentido la Ley 10/2010, de
28 de abril, de prevención del
blanqueo de capitales y de la financiación del terrorismo, donde
se establece expresamente que los
sujetos obligados deberán aprobar
por escrito y aplicar políticas y pro-
cedimientos adecuados en materia
de diligencia debida, información,
conservación de documentos, control interno, evaluación y gestión de
riesgos, garantía del cumplimiento
de las disposiciones legales pertinentes y comunicación de las mismas a
los organismo reguladores, con objeto de prevenir e impedir operaciones
“La normativa nacional, comunitaria e
internacional está haciendo especial
hincapié en la necesidad de que las
organizaciones se doten de sistemas
internos de Governance, Risk &
Compliance (GR&C) que permitan a las
entidades poder establecer internamente
un Framework para la gestión de riesgos”
Economist & Jurist 89
ámbito
jurídico
relacionadas con el blanqueo de capitales o la financiación del terrorismo, extendiendo lo dispuesto en las
citadas políticas a las sucursales y
filiales con participación mayoritaria
situadas en terceros países.
de sistemas de gestión y control
internos, políticas de seguridad y
prevención así como sistemas de
evaluación permanente del nivel
de cumplimiento de los objetivos previamente establecidos.
Es también importante, por el tipo
de norma de que se trata, tener en
cuenta lo dispuesto en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en lo que
respecta a la responsabilidad penal
de personas jurídicas, donde se dispone que las personas jurídicas serán
también penalmente responsables de
los delitos cometidos, en el ejercicio
de actividades sociales y por cuenta y
en provecho de las mismas, por quienes, estando sometidos a la autoridad
de los representantes legales y administradores de hecho o de derecho,
han podido realizar los hechos por no
haberse ejercido sobre ellos el “debido control” atendidas las concretas
circunstancias del caso.
A nivel internacional, concretamente en los Estados Unidos de
América (USA), cabe tener en consideración lo dispuesto por la Sarbanes
- OxleyAct of 2002, Acta de Reforma de la Contabilidad Pública de
Empresas y de Protección al Inversionista, norma de frecuente aplicación por parte de compañías españolas, en tanto éstas compañías coticen
en la bolsa de los Estados Unidos o en
su caso coticen en otras bolsas internacionales que lleven a cabo negocios
en los EE.UU, cosa que suele ser extraordinariamente habitual.
Precisamente, el “debido control” requerido por la norma no
es otro que el establecimiento
90 Economist & Jurist
Esta norma pretende lograr la
generación de confianza entre
los clientes y especialmente inversores, mediante la creación de
estándares de auditoría y selección de los equipos auditores; el
establecimiento de controles internos
con el fin de asegurar la transparencia
financiera, así como la precisión y responsabilidad individual sobre la información contenida en los mismos; la
realización de evaluaciones y auditorías internas, que deberán constar en
todo caso por escrito, en los que se establezca la responsabilidad del equipo
directivo de tener una estructura de
control adecuada para los informes de
estados financieros y en todo caso, se
acredite haber realizado una evaluación sobre la eficacia de los controles
efectivamente aplicados.
Como vemos, de nuevo se trata de
una norma aplicable a una gran
número de compañías españolas
que dispone la necesidad de disponer de controles internos y sistemas que integren el cumplimiento
normativo de la organización con
una identificación, análisis y evaluación de riesgos, con el fin de dotar a la
información manejada por la compañía
de la trazabilidad, transparencia e integridad requeridas por el mercado, con
el fin de garantizar la máxima confianza, especialmente a inversores y resto
de agentes del mercado.
Por último y dada la importancia
de la materia y la conexión con la normativa de protección de datos anteriormente comentada, es de especial
trascendencia la HealthInsurancePortability and AccountabilityAct
(HIPAA), normativa específica de
privacidad respecto a datos relativos a salud aplicable a todos
los planes de salud, centros de salud, así como a cualquier entidad que
preste servicios relacionados con la
salud que transmita este tipo de información en el territorio de los Estados
Unidos de América (USA).
En definitiva, y a modo de conclusión, como no podía ser de otra forma,
el mundo del Derecho y del Cumplimiento Normativo se está viendo sacudido en los últimos tiempos por la
entrada en vigor de una gran número
de normas, tanto nacionales, como internacionales que requieren el establecimiento en las compañías de políticas
internas y sistemas de evaluación del
cumplimiento normativo orientadas al
riesgo, lo que necesariamente requiere la modernización de los sistemas de
cumplimiento normativo y la conceptualización de los servicios de asesoramiento jurídico, en tanto que deben
ser prestados atendiendo al riesgo y al
coste-beneficio asociado al incumplimiento de cada obligación legal.
El papel de los asesores jurídicos y
abogados, internos y externos, en este
proceso de cambio del que estamos
siendo partícipes, se torna en crucial
para lograr que nuestra labor sea vista
por parte de los consejos e inversores
como un servicio esencial que aporta
un valor claro a la organización, con
un retorno de la inversión, claramente
definido y cuantificable. 
Bibliografía
www.bdifusion.es
Artículos Jurídicos:
•
LÓPEZ MUÑOZ, MARÍA. Implicaciones en materia de protección de datos de carácter personal en fusiones frías.
Economist & Jurist Nº 149. Abril 2011. (www.economistjurist.es).
•
BELLIDO MENGUAL, MANUEL. Medios jurídicos para asegurar el riesgo del impago en el comercio internacional. Economist & Jurist Nº 152 Julio-agosto 2011. (www.economistjurist.es).
•
GÓMEZ MARÍN, VICTOR. La futura responsabilidad penal de las personas jurídicas, ¿servirá para colmar lagunas
de punibilidad? Economist & Jurist Nº 140. Mayo 2010. (www.economistjurist.es).
Economist & Jurist 91